Jump to content

Cisco ACL

Jora_Cornev
 Share

Recommended Posts

Jora_Cornev

Jora_Cornev

Posted
Posted (edited)

Хочу одним правилом на киске закрыть доступ к 22 порту 

ip access-list extended DENY_SSH
 deny   tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any

Для десятка sub-интерфейсов вида:

 

Скрытый текст

 

interface GigabitEthernet0/3.101

ip address 172.17.1.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

interface GigabitEthernet0/3.102

ip address 172.17.2.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

===========/////=============

 

interface GigabitEthernet0/3.111

ip address 172.17.11.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

 

 

 

Но по неведомой мне причине правило не работает ...

Edited by Jora_Cornev
god_of_ethernet

god_of_ethernet

Posted
Posted (edited)

@Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
вход 

ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

выход  

ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any
Edited by god_of_ethernet
ikiliikkuja

ikiliikkuja

Posted
Posted (edited)
38 минут назад, god_of_ethernet сказал:

@Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
вход 


ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

выход  


ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any
 
 

поправлю ip access-list extended DENY_SSH_OUT  deny tcp any eq 22 172.17.0.0 0.0.255.255

Edited by ikiliikkuja
Jora_Cornev

Jora_Cornev

Posted
  • Author
Posted

интересно послушать мнение общественности, какое правило меньше грузит CPU: 

deny   tcp any eq 22 172.17.0.0 0.0.255.255

или 

deny   tcp any 172.17.0.0 0.0.255.255 eq 22

 

15 часов назад, EvgeniySerb сказал:

Я не про это , ещё есть интерфейсы на этом маршрутизаторе ?

Есть, но они не сморят в сторону пользователей.

god_of_ethernet

god_of_ethernet

Posted
Posted
11 часов назад, Jora_Cornev сказал:

интересно послушать мнение общественности, какое правило меньше грузит CPU

тут не в CPU дело, трафик на OUT это будут ответы от ssh сервера к хостам, следовательно надо матчить 22 порт с source.ip @ikiliikkuja  все правильно подметил.

Jora_Cornev

Jora_Cornev

Posted
  • Author
Posted

7206 NPE-G2

 

5 часов назад, zhenya` сказал:

может ацл на нем вовсе не грузит цпу

Вопрос конечно больше теоретический, цель которого сделать всё по фэншую

  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.